Araştırmacılar, bir Rus tehdit aktörünün, satılmaya ve farklı Android bankacılığı kötü amaçlı yazılımlarıyla çalışmaya hazır web enjeksiyonlarıyla Tor tabanlı bir çevrimiçi mağazada stok büyüttüğünü ortaya çıkardı.
Bu web enjeksiyonlarını düşük fiyatlarla ve cazip indirimlerle sunuyorlar. Cyble Research and Intelligence Labs (CRIL), açıkça bankacılık uygulamalarını hedef alan, Rus bilgisayar korsanlığı forumlarından yükselen bir tehdit grubu keşfetti.
Araştırma ekibi, “InTheBox” olarak bilinen kötü şöhretli bir tehdit aktörünün/grubunun eylemlerini yakından izliyor.
Rusça bir siber suç forumunun gölgesinde gizlenen bu grup, uğursuz bir web enjeksiyonu cephaneliğiyle erişim alanını genişletti. Tor tabanlı çevrimiçi mağazalarında yer alan bu kullanıma hazır web enjeksiyonları, çeşitli Android bankacılığı kötü amaçlı yazılımlarıyla eşleştirilebilir ve cazip indirimlerle kelepir fiyatlarla sunulur.
Kutunun içinde ne var’?
“InTheBox”, siber suç topluluğunda bilinen bir tehdit aktörü veya grubudur. CRIL raporuna göre, bu gruplar öncelikle Rusça bir siber suç forumunda aktiftir ve Tor tabanlı çevrimiçi mağazaları aracılığıyla satışa web enjeksiyonları sunmalarıyla tanınırlar.
Bu web enjeksiyonu, çeşitli ülkelerdeki büyük kuruluşların perakende bankacılığı, mobil ödeme hizmetleri, kripto para borsaları ve mobil e-ticaret uygulamalarını hedeflemek için tasarlanmıştır.
Kötü şöhretli “InTheBox” grubu, Şubat 2020’den bu yana, Android mobil uygulama web enjeksiyonlarının doğrulanmış bir satıcısı olarak adından söz ettiriyor.
Grup koşusus web enjeksiyonları satın almak isteyenler için sorunsuz bir alışveriş deneyimi sunan Tor tabanlı bir çevrimiçi mağaza. Cazip indirimler ve zahmetsiz bir satın alma süreci ile “InTheBox”un dijital dünyaya zarar vermek isteyenler arasında popüler hale gelmesi hiç de şaşırtıcı değil.
Daha önce tor web sitesine erişim sadece ücretsiz olarak kaydolarak elde edilirken, şimdi “InTheBox” giriş için tek seferlik bir ücret talep ederek bahsi yükseltti. Eklenen engellere rağmen, “InTheBox”un siber suç dünyasında hesaba katılması gereken tehlikeli bir güç olmaya devam ettiği açıktır.
Android web enjeksiyonu nasıl çalışır?
Android web inject, hassas bilgileri toplamak için hazırlanmış özel yapım bir modüldür ve bankacılık kötü amaçlı yazılımları için mükemmel bir kılık değiştirmedir. Kurbanlar, meşru bir mobil uygulamayı taklit eden aldatıcı bir yer paylaşımlı arayüzle yanlış bir güvenlik duygusuna kapılır.
Web enjekteleri kurnaz bir hırsız gibi hareket eder, sessizce gölgelere süzülür ve değerli kimlik bilgilerini ve hassas verileri kapar. Bu saldırı vektörü, dijital ortamda dolaşanlar için sürekli bir tehdit olan asırlık Tarayıcıdaki Adam (MITB) saldırısını anımsatıyor.”
“InTheBox” siber suç dünyasını kasıp kavurdu ve bireysel web enjeksiyonlarında yeni indirimli fiyatlarıyla piyasayı sarstı. Bir zamanlar 50$’lık maliyetli bir yatırım olan şeye artık sadece 30$’a sahip olunabiliyor. Ve gerçekten kişiselleştirilmiş bir dokunuş arayanlar için “InTheBox”, ölümcül mallarını herhangi bir bankacılık kötü amaçlı yazılım botunun özel ihtiyaçlarına uyacak şekilde uyarlayan özel web yerleştirme geliştirmesi sunar.
ABD, Avustralya ve Güney Amerika’daki kuruluşlara yönelik hedefli bir saldırıyla başlayan “InTheBox”, kapsamını genişletti ve şimdi 44 ülkeye yayılıyor. Acımasız güç ve kâr arayışları sınır tanımaz, bu da onları dijital dünyada hesaba katılması gereken bir güç haline getirir.
Zararsız bir yer paylaşımlı arayüz kılığına giren web enjeksiyonu, şüphelenmeyen kullanıcıları kullanıcı kimliği, şifre ve cep telefonu numarası gibi değerli mobil bankacılık kimlik bilgilerini girmeye ikna eder. Ancak, gerçek hasar henüz gelmediği için bu buzdağının sadece görünen kısmı.
Numara, son kullanma tarihi ve CVV kodu da dahil olmak üzere kredi kartı bilgilerini – yasal uygulama için bile gerekli olmayabilecek bilgiler – vermesi için kullanıcıyı kandıran ikinci bir yer paylaşımlı arayüz açılır.